Appian Cloud 로그 수집
다음에서 지원:
Google secops
SIEM
이 문서에서는 Bindplane 에이전트를 사용하여 Appian Cloud 로그를 Google Security Operations로 수집하는 방법을 설명합니다.
Appian Cloud는 조직이 엔터프라이즈 애플리케이션과 워크플로를 빌드할 수 있는 로우 코드 자동화 플랫폼입니다. 로그 스트리밍은 IPsec VPN 연결을 통해 Appian Cloud 환경의 감사 및 보안 이벤트 로그를 제공합니다.
시작하기 전에
다음 기본 요건이 충족되었는지 확인합니다.
- Google SecOps 인스턴스
- Windows Server 2016 이상 또는
systemd가 설치된 Linux 호스트 - 프록시 뒤에서 실행하는 경우 Bindplane 에이전트 요구사항에 따라 방화벽 포트가 열려 있는지 확인합니다.
- Appian Cloud를 사용하는 Professional 또는 Signature 라이선스
- Appian 환경 URL 기록
- Appian Cloud와 Bindplane 에이전트가 배포될 환경 간의 IPsec VPN
Google SecOps 수집 인증 파일 가져오기
- Google SecOps 콘솔에 로그인합니다.
- SIEM 설정 > 수집 에이전트로 이동합니다.
- 수집 인증 파일을 다운로드합니다.
Bindplane 에이전트가 설치될 시스템에 파일을 안전하게 저장합니다.
Google SecOps 고객 ID 가져오기
- Google SecOps 콘솔에 로그인합니다.
- SIEM 설정 > 프로필로 이동합니다.
조직 세부정보 섹션에서 고객 ID를 복사하여 저장합니다.
Bindplane 에이전트 설치
다음 안내에 따라 Windows 또는 Linux 운영체제에 Bindplane 에이전트를 설치합니다.
Windows 설치
- 명령 프롬프트 또는 PowerShell을 관리자로 엽니다.
다음 명령어를 실행합니다.
msiexec /i "https://github.com/observIQ/bindplane-agent/releases/latest/download/observiq-otel-collector.msi" /quiet설치가 완료될 때까지 기다립니다.
다음을 실행하여 설치를 확인합니다.
sc query observiq-otel-collector서비스가 실행 중으로 표시되어야 합니다.
Linux 설치
- 루트 또는 sudo 권한으로 터미널을 엽니다.
다음 명령어를 실행합니다.
sudo sh -c "$(curl -fsSlL https://github.com/observiq/bindplane-agent/releases/latest/download/install_unix.sh)" install_unix.sh설치가 완료될 때까지 기다립니다.
다음을 실행하여 설치를 확인합니다.
sudo systemctl status observiq-otel-collector서비스가 active (running)으로 표시되어야 합니다.
추가 설치 리소스
추가 설치 옵션 및 문제 해결은 Bindplane 에이전트 설치 가이드를 참고하세요.
syslog를 수집하여 Google SecOps로 전송하도록 Bindplane 에이전트 구성
구성 파일 찾기
Linux:
sudo nano /etc/bindplane-agent/config.yamlWindows:
notepad "C:\Program Files\observIQ OpenTelemetry Collector\config.yaml"
구성 파일 설정
config.yaml의 전체 내용을 다음 구성으로 바꿉니다.receivers: tcplog: listen_address: "0.0.0.0:6514" exporters: chronicle/appian_cloud: compression: gzip creds_file_path: '/etc/bindplane-agent/ingestion-auth.json' customer_id: '<customer_id>' endpoint: malachiteingestion-pa.googleapis.com log_type: APPIAN_CLOUD raw_log_field: body service: pipelines: logs/appian_to_chronicle: receivers: - tcplog exporters: - chronicle/appian_cloud
구성 매개변수
다음 자리표시자를 바꿉니다.
수신기 구성:
listen_address: 리슨할 IP 주소 및 포트입니다.0.0.0.0: 모든 인터페이스에서 수신 대기 (권장)- 포트
6514는 Appian Cloud 로그 스트리밍에 권장되는 포트입니다.
내보내기 도구 구성:
creds_file_path: 수집 인증 파일의 전체 경로입니다.- Linux:
/etc/bindplane-agent/ingestion-auth.json - Windows:
C:\Program Files\observIQ OpenTelemetry Collector\ingestion-auth.json
- Linux:
customer_id: Google SecOps 콘솔에서 복사한 고객 IDendpoint: 리전 엔드포인트 URL:- 미국:
malachiteingestion-pa.googleapis.com - 유럽:
europe-malachiteingestion-pa.googleapis.com - 아시아:
asia-southeast1-malachiteingestion-pa.googleapis.com - 전체 목록은 리전 엔드포인트를 참고하세요.
- 미국:
구성 파일 저장
- 수정 후 파일을 저장합니다.
- Linux:
Ctrl+O,Enter,Ctrl+X순서로 누릅니다. - Windows: 파일 > 저장을 클릭합니다.
- Linux:
변경사항을 적용하려면 Bindplane 에이전트를 다시 시작하세요.
Linux에서 Bindplane 에이전트를 다시 시작하려면 다음 명령어를 실행합니다.
sudo systemctl restart observiq-otel-collector서비스가 실행 중인지 확인합니다.
sudo systemctl status observiq-otel-collector로그에서 오류를 확인합니다.
sudo journalctl -u observiq-otel-collector -f
Windows에서 Bindplane 에이전트를 다시 시작하려면 다음 옵션 중 하나를 선택합니다.
관리자 권한으로 명령 프롬프트 또는 PowerShell:
net stop observiq-otel-collector && net start observiq-otel-collector서비스 콘솔:
Win+R키를 누르고services.msc을 입력한 다음 Enter 키를 누릅니다.- observIQ OpenTelemetry Collector를 찾습니다.
- 마우스 오른쪽 버튼을 클릭하고 다시 시작을 선택합니다.
서비스가 실행 중인지 확인합니다.
sc query observiq-otel-collector로그에서 오류를 확인합니다.
type "C:\Program Files\observIQ OpenTelemetry Collector\log\collector.log"
Appian Cloud의 로그 스트리밍 사용 설정
- 제목이 Enable Log Streaming인 지원 케이스를 Appian에 열고 다음 세부정보를 포함합니다.
- 환경 URL
- IPsec VPN과 같은 원하는 네트워크 경로
- Bindplane 에이전트 IP 주소
- Bindplane 에이전트 TCP 포트 번호 (예: 6514)
- Appian 지원팀에서 유지보수 기간을 예약하고 구성을 배포합니다.
UDM 매핑 테이블
| 로그 필드 | UDM 매핑 | 논리 |
|---|---|---|
available_heap_space_label |
additional.fields |
병합됨 |
cpu_core_count_label |
additional.fields |
병합됨 |
daemon_thread_count_label |
additional.fields |
병합됨 |
data_store_label |
additional.fields |
병합됨 |
devicetimestamp_label |
additional.fields |
병합됨 |
entity_label |
additional.fields |
병합됨 |
execute_time_label |
additional.fields |
병합됨 |
load_average_label |
additional.fields |
병합됨 |
operation_name_label |
additional.fields |
병합됨 |
operation_type_label |
additional.fields |
병합됨 |
permanent_generation_available_label |
additional.fields |
병합됨 |
permanent_generation_used_label |
additional.fields |
병합됨 |
prepare_time_label |
additional.fields |
병합됨 |
retcode_label |
additional.fields |
병합됨 |
session_count_label |
additional.fields |
병합됨 |
tenured_collection_count_label |
additional.fields |
병합됨 |
tenured_collection_time_label |
additional.fields |
병합됨 |
tenured_generation_available_label |
additional.fields |
병합됨 |
tenured_generation_usage_after_collection_label |
additional.fields |
병합됨 |
tenured_generation_used_label |
additional.fields |
병합됨 |
thread_label |
additional.fields |
병합됨 |
total_swap_space_label |
additional.fields |
병합됨 |
total_system_memory_label |
additional.fields |
병합됨 |
total_thread_count_label |
additional.fields |
병합됨 |
transform_time_label |
additional.fields |
병합됨 |
used_heap_space_label |
additional.fields |
병합됨 |
used_swap_space_label |
additional.fields |
병합됨 |
used_system_memory_label |
additional.fields |
병합됨 |
young_cllection_time_label |
additional.fields |
병합됨 |
young_collection_count_label |
additional.fields |
병합됨 |
has_principal_user |
extensions.auth.type |
매핑됨: true → AUTHTYPE_UNSPECIFIED |
src_host |
intermediary.hostname |
직접 매핑됨 |
src_ip |
intermediary.ip |
병합됨 |
time |
metadata.event_timestamp |
yyyy-MM-dd HH:mm:ss로 파싱됨 |
event_type |
metadata.event_type |
직접 매핑됨 |
device |
metadata.product_event_type |
직접 매핑됨 |
product_type |
metadata.product_event_type |
직접 매핑됨 |
http_method |
network.http.method |
직접 매핑됨 |
useragent |
network.http.parsed_user_agent |
이름이 변경됨/매핑됨 |
useragent |
network.http.user_agent |
직접 매핑됨 |
connectionid |
network.session_id |
직접 매핑됨 |
sessionID |
network.session_id |
직접 매핑됨 |
session_id |
network.session_id |
직접 매핑됨 |
domain |
principal.administrative_domain |
직접 매핑됨 |
application |
principal.application |
직접 매핑됨 |
host |
principal.asset.hostname |
직접 매핑됨 |
hostname |
principal.asset.hostname |
직접 매핑됨 |
IpAddress |
principal.asset.ip |
병합됨 |
host |
principal.hostname |
직접 매핑됨 |
hostname |
principal.hostname |
직접 매핑됨 |
IpAddress |
principal.ip |
병합됨 |
src_port |
principal.port |
직접 매핑됨 |
process_id |
principal.process.pid |
직접 매핑됨 |
url |
principal.url |
직접 매핑됨 |
roles |
principal.user.attribute.roles |
병합됨 |
companyname |
principal.user.company_name |
직접 매핑됨 |
email |
principal.user.email_addresses |
병합됨 |
user_id |
principal.user.email_addresses |
매핑됨: N/A → user_id |
modified_by_uuid |
principal.user.product_object_id |
직접 매핑됨 |
user |
principal.user.product_object_id |
직접 매핑됨 |
modified_by_username |
principal.user.userid |
직접 매핑됨 |
userId |
principal.user.userid |
직접 매핑됨 |
user_id |
principal.user.userid |
직접 매핑됨 |
username2 |
principal.user.userid |
직접 매핑됨 |
versionDetails |
security_result.about.platform_version |
직접 매핑됨 |
outcome_result |
security_result.action |
병합됨 |
security_result_action |
security_result.action |
병합됨 |
act |
security_result.action_details |
직접 매핑됨 |
status |
security_result.action_details |
직접 매핑됨 |
sec_result_category |
security_result.category |
병합됨 |
category |
security_result.category_details |
병합됨 |
desc |
security_result.description |
직접 매핑됨 |
details |
security_result.description |
직접 매핑됨 |
details_label |
security_result.detection_fields |
병합됨 |
endpoint_label |
security_result.detection_fields |
병합됨 |
execution_count_label |
security_result.detection_fields |
병합됨 |
maximum_execution_time_label |
security_result.detection_fields |
병합됨 |
maximum_response_size_label |
security_result.detection_fields |
병합됨 |
maximum_response_time_label |
security_result.detection_fields |
병합됨 |
mean_execution_time_label |
security_result.detection_fields |
병합됨 |
mean_response_size_label |
security_result.detection_fields |
병합됨 |
minimum_execution_time_label |
security_result.detection_fields |
병합됨 |
minimum_response_size_label |
security_result.detection_fields |
병합됨 |
model_label |
security_result.detection_fields |
병합됨 |
rolesAllow_label |
security_result.detection_fields |
병합됨 |
sqlcmd_label |
security_result.detection_fields |
병합됨 |
status_code_1xx_count_label |
security_result.detection_fields |
병합됨 |
status_code_2xx_count_label |
security_result.detection_fields |
병합됨 |
status_code_3xx_count_label |
security_result.detection_fields |
병합됨 |
status_code_4xx_count_label |
security_result.detection_fields |
병합됨 |
status_code_5xx_count_label |
security_result.detection_fields |
병합됨 |
type_label |
security_result.detection_fields |
병합됨 |
uuid_label |
security_result.detection_fields |
병합됨 |
severity |
security_result.severity |
매핑됨: "INFORMATIONAL","INFORMATION","INFO" → INFORMATIONAL, "WARNING", "MEDIUM" → `M... |
detail |
security_result.severity_details |
직접 매핑됨 |
action1 |
security_result.summary |
직접 매핑됨 |
msg |
security_result.summary |
직접 매핑됨 |
object |
security_result.summary |
직접 매핑됨 |
operation_detail |
security_result.summary |
직접 매핑됨 |
reason |
security_result.summary |
직접 매핑됨 |
summary |
security_result.summary |
직접 매핑됨 |
server_host |
target.asset.hostname |
직접 매핑됨 |
tar_host |
target.asset.hostname |
직접 매핑됨 |
src_ip1 |
target.asset.ip |
병합됨 |
hash |
target.file.md5 |
직접 매핑됨 |
document_name |
target.file.names |
병합됨 |
server_host |
target.hostname |
직접 매핑됨 |
tar_host |
target.hostname |
직접 매핑됨 |
src_ip1 |
target.ip |
병합됨 |
commandline |
target.process.command_line |
직접 매핑됨 |
action_label |
target.resource.attribute.labels |
병합됨 |
environment_label |
target.resource.attribute.labels |
병합됨 |
filters_label |
target.resource.attribute.labels |
병합됨 |
new_value_label |
target.resource.attribute.labels |
병합됨 |
original_value_label |
target.resource.attribute.labels |
병합됨 |
page_group_invoved_label |
target.resource.attribute.labels |
병합됨 |
page_involved_label |
target.resource.attribute.labels |
병합됨 |
record_identifier_label |
target.resource.attribute.labels |
병합됨 |
record_type_name_label |
target.resource.attribute.labels |
병합됨 |
record_type_url_stub_label |
target.resource.attribute.labels |
병합됨 |
setting_new_value_label |
target.resource.attribute.labels |
병합됨 |
setting_old_value_label |
target.resource.attribute.labels |
병합됨 |
site_involved_label |
target.resource.attribute.labels |
병합됨 |
site_url_stub_label |
target.resource.attribute.labels |
병합됨 |
view_label |
target.resource.attribute.labels |
병합됨 |
database |
target.resource.name |
직접 매핑됨 |
property |
target.resource.name |
직접 매핑됨 |
record_type_name |
target.resource.name |
직접 매핑됨 |
resourcename |
target.resource.name |
직접 매핑됨 |
site_involved |
target.resource.name |
직접 매핑됨 |
id |
target.resource.product_object_id |
직접 매핑됨 |
oid |
target.resource.product_object_id |
직접 매핑됨 |
queryid |
target.resource.product_object_id |
직접 매핑됨 |
sessionID |
target.resource.product_object_id |
직접 매핑됨 |
transactionId |
target.resource.product_object_id |
직접 매핑됨 |
action |
target.resource.resource_subtype |
직접 매핑됨 |
name |
target.resource.resource_subtype |
직접 매핑됨 |
user_uuid |
target.user.product_object_id |
직접 매핑됨 |
username1 |
target.user.userid |
직접 매핑됨 |
| 해당 사항 없음 | extensions.auth.type |
상수: AUTHTYPE_UNSPECIFIED |
| 해당 사항 없음 | metadata.event_type |
상수: GENERIC_EVENT |
| 해당 사항 없음 | metadata.log_type |
상수: APPIAN_CLOUD |
| 해당 사항 없음 | metadata.product_name |
상수: Cloud Platform |
| 해당 사항 없음 | metadata.vendor_name |
상수: Appian |
| 해당 사항 없음 | security_result.severity |
상수: INFORMATIONAL |
도움이 더 필요하신가요? 커뮤니티 회원 및 Google SecOps 전문가에게 문의하여 답변을 받으세요.